Regolamento - 27/04/2016 - n. 679 art. 90 - Obblighi di segretezza

Privacy e segreto professionale

A differenza del diritto alla protezione dei dati personali, il segreto professionale non viene concepito come un diritto fondamentale; ciò nonostante, esso è comunque oggetto di tutela in quanto forma del diritto al rispetto della vita privata.

Il segreto professionale può esser definito come uno speciale dovere etico e, in determinati casi, deontologico, che prevede un obbligo di non divulgare talune informazioni, inerente a determinate professioni e/o funzioni, dove il rapporto fra le parti si basa sulla “fiducia”.

Ne consegue che le persone e le istituzioni che svolgono tali professioni e/o esercitano tali funzioni sono obbligate a non rivelare le informazioni riservate apprese e ricevute nello svolgimento dei loro compiti.

Generalmente, il segreto professionale si applica al rapporto medico/paziente (e, quindi, alla professione medica) e al rapporto privilegiato che sussiste tra avvocato e cliente – professioni dove, come evidente, sussistono rapporti di totale fiducia fra le parti. Bisogna poi precisare che molte giurisdizioni riconoscono anche un obbligo di segretezza professionale nel settore finanziario.

Determinate comunicazioni o informazioni apprese nello svolgimento della propria attività professionale possono pertanto essere soggette al vincolo del segreto professionale, con ciò comportandosi la necessità di non divulgarle, al fine di tutelare il diritto al rispetto della vita privata.

Il Regolamento ricollega, ad esempio, il segreto professionale al trattamento di categorie particolari di dati personali (i.e., dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona).

Sulla base del combinato disposto di cui all'art. 9, paragrafi 2, lett. h) e 3, si prevede che le categorie particolari di dati personali possono essere trattati per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, nella misura in cui tali dati siano trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale, conformemente al diritto dell'Unione europea o degli Stati membri, ovvero alle norme stabilite dagli organismi nazionali competenti.

Bisogna notare che il rapporto sussistente tra privacy e segreto professionale sia, per certi versi, ambivalente.

Non a caso, infatti, le norme del Regolamento, nel prevedere l'adozione di idonee e adeguate garanzie a tutela dei dati personali, mira evidentemente a proteggere tutte le informazioni trattate dai titolari del trattamento e dai responsabili del trattamento, ivi incluse quelle che sono coperte da segreto professionale, al fine di scongiurarne la perdita di riservatezza.

Allo stesso tempo, è anche vero che l'obbligo del segreto professionale imposto ad alcuni titolari del trattamento e ai responsabili del trattamento con riferimento a determinati dati personali potrebbe limitare, de facto, i diritti degli interessati. Si pensi, in particolare, alla limitazione del diritto ad essere informati, secondo quanto stabilito l'art. 14, par. 5, lett. d) GDPR, allorché si prevede che laddove i dati personali non siano stati ottenuti direttamente dall'interessato, non sussisterebbe l'obbligo di informativa da parte del titolare del trattamento qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.

Ciò detto, il legislatore europeo prevede che gli Stati membri possono stabilire per legge, nei limiti del Regolamento, norme specifiche per tutelare il segreto professionale o altri obblighi equivalenti di segretezza, qualora esse si rendano necessarie per conciliare il diritto alla protezione dei dati personali con il segreto professionale. Tali norme specifiche si riferiscono al potere delle autorità di controllo di ottenere, dal titolare del trattamento o dal responsabile del trattamento, accesso ai dati personali e accesso ai loro locali, con particolare riferimento ai dati personali ricevuti ovvero ottenuti in seguito a un'attività protetta da tale segreto professionale.

Le autorità amministrative indipendenti sono pertanto chiamate a rispettare gli obblighi di segreto professionale che vincolano i titolari del trattamento e i responsabili del trattamento.

Il d.lgs. n. 196/2003, come da ultimo modificato dal d.lgs. n. 101/2018, richiama il concetto di segreto professionale con riferimento, ad esempio, all'esercizio dell'attività giornalistica. Ci si riferisce, in particolare, all'art. 138, dove si prevede che, in caso di richiesta dell'interessato di conoscere l'origine dei dati personali ai sensi dell'art. 15, paragrafo 1, lett. g), GDPR, restano ferme le norme sul segreto professionale degli esercenti la professione di giornalista, limitatamente alla fonte della notizia.

Obblighi equivalenti di segretezza

Come noto, la disposizione in commento non solo richiama la necessità di conciliare il diritto alla protezione dei dati personali con il segreto professionale, ma anche con gli altri obblighi equivalenti di segretezza.

Il legislatore europeo, tuttavia, non specifica cosa debba intendersi per “obblighi equivalenti di segretezza” e quali essi siano rispetto al segreto professionale.

Ciò nonostante, guardando al caso concreto e alla normativa nazionale, si ritiene che possa rientrarci, ad esempio, il segreto d'ufficio nell'ambito della pubblica amministrazione, da intendersi come l'obbligo di non trasmettere, a chi non ne abbia diritto, informazioni riguardanti provvedimenti od operazioni amministrative, in corso o concluse, ovvero notizie di cui sia venuto a conoscenza a causa delle proprie funzioni, al di fuori delle ipotesi e delle modalità previste dalle norme sul diritto di accesso.

È inoltre interessante notare come il legislatore italiano abbia anche previsto una specifica fattispecie di reato nel Codice penale con riferimento alla “Rivelazione ed utilizzazione di segreti di ufficio”. A tal riguardo, l'art. 326 c.p. prevede espressamente che «Il pubblico ufficiale o la persona incaricata di un pubblico servizio, che, violando i doveri inerenti alle funzioni o al servizio, o comunque abusando della sua qualità, rivela notizie di ufficio, le quali debbano rimanere segrete, o ne agevola in qualsiasi modo la conoscenza, è punito con la reclusione da sei mesi a tre anni. Se l'agevolazione è soltanto colposa, si applica la reclusione fino a un anno. Il pubblico ufficiale o la persona incaricata di un pubblico servizio, che, per procurare a sé o ad altri un indebito profitto patrimoniale, si avvale illegittimamente di notizie di ufficio, le quali debbano rimanere segrete, è punito con la reclusione da due a cinque anni. Se il fatto è commesso al fine procurare a sé o ad altri un ingiusto profitto non patrimoniale o di cagionare ad altri un danno ingiusto, si applica la pena della reclusione fino a due anni».

L'obbligo di segreto professionale per i membri e il personale dell'autorità di controllo

Bisogna, inoltre, segnalare anche l'obbligo di segreto professionale che il legislatore europeo prevede nei confronti dei membri e del personale dell'autorità di controllo nazionale.

Il Regolamento pone a carico dei membri e del personale delle autorità di controllo nazionali un obbligo di segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell'esecuzione dei loro compiti o nell'esercizio dei loro poteri, sia durante che dopo la cessazione del proprio mandato.

Si prevede, inoltre, che, per tutta la durata del loro mandato, i membri e il personale dell'autorità di controllo abbiano un obbligo di segreto professionale, in particolare, per quanto concerne le segnalazioni da parte di persone fisiche aventi ad oggetto ipotesi di violazione del Regolamento (art. 54, par. 2 GDPR).

Si fa notare come a differenza delle condizioni previste dal primo paragrafo dell'art. 54, per le quali il Regolamento (UE) 2016/679 richiede espressamente l'adozione di un provvedimento normativo a livello nazionale, il paragrafo 2 del medesimo articolo non riporta invece la medesima impostazione, limitandosi piuttosto a stabilire un principio direttamente applicabile senza che sia richiesto un intervento normativo locale ad hoc.

A tal riguardo, il legislatore italiano, nell'adeguare il d.lgs. n. 196/2003 al quadro normativo europeo (ma senza aggiungere nulla in più rispetto alla previsione euro-unitaria), ha previsto che i membri del Collegio devono mantenere il segreto, sia nella vigenza del loro incarico sia successivamente alla sua cessazione, in merito alle informazioni riservate cui hanno avuto accesso nell'esecuzione dei propri compiti o nell'esercizio dei propri poteri (art. 153, comma 4).

Infine, con specifico riferimento al personale addetto all'Ufficio del Garante e ai consulenti, l'art. 156, comma 6 d.lgs. n. 196/2003 stabilisce che anch'essi sono tenuti, sia durante che successivamente al proprio mandato, al segreto su ogni informazione di cui siano venuti a conoscenza nell'esercizio delle proprie funzioni.